WooYun.org

目前12306进行验证码验证的逻辑为：
1.请求验证码图片（服务器生成）
2.调用 checkRandCodeAnsyn 在操作前就判断是否正确
3.连同验证码一起提交，如提交订单和提交登录。
这个流程并没有问题，也是比较人性化的操作。但是在整个流程中，没有对时间进行任何限制。在1月份改版后，验证码识别难度已经大大提升，但是这只是导致了验证码一次识别率下降，多试几次，总能识别出一次，加上checkRandCodeAnsyn接口本身没有任何调用限制，导致虽然需要识别多次，但是总体速度几乎还是秒级别的。以铁路通为例，现在的版本依旧识别验证码，但是识别的过程就是在上述的1-2步骤间来回走，当成功后则跳出。虽然测试的时候需要将近四次才可以识别出来，但是由于现在服务器速度较快，总体花费依然只需要不到两秒。这会导致如下问题：
1.高峰期服务器负载较高，请求响应速度慢，但是这种反复请求并验证的操作很容易导致服务器压力升高很多；
2.当服务器负载不高时，利用此手段依然可以完成既定目标（全自动订票且效率远比人手动高）
3.可能会被暴力利用，如心蓝订票复出版中，有个服务器测速。它的测速不是测CDN节点的速度，而是服务器的速度，测速方式就是爆刷验证码接口，每隔20秒并发20线程请求验证码图片，借以测速。
由于验证码的请求、验证是否正确的请求、提交请求都是必须由12306自己的服务器来完成，而不是像查询那样可以由CDN提供缓存，因此被人利用或暴力操作后，对12306的服务器本身也是非常不利的。